Dos hermanos expertos en tecnologías de la información han descubierto fallos graves en el sistema TIC del National Student Financial Aid Scheme, exponiendo potencialmente los detalles personales de millones de estudiantes, incluidos cuentas bancarias, a estafadores. Las vulnerabilidades permitían acceso a mensajes sensibles, PIN de un solo uso e incluso funciones administrativas como alterar financiamientos. NSFAS ha corregido desde entonces los problemas más críticos tras ser alertada.
Connor Bettridge, estudiante de informática en Varsity College en Ciudad del Cabo, se topó con los problemas mientras ayudaba con una solicitud de financiación NSFAS. Accedió a la página de comunicación del portal y vio direcciones, género, ingresos y detalles bancarios de estudiantes. Su hermano mayor, Jordan Bettridge, que trabaja en tecnología de seguros, investigó más a fondo.
Jordan describió cómo el sistema permitía a cualquiera acceder a todos los SMS y correos electrónicos enviados por NSFAS desde 2022, incluidos PIN de un solo uso e información personal de entre medio millón y un millón de solicitantes. «No fue difícil en absoluto. Podías escribir un script en 20 minutos que literalmente extrae todos los SMS y correos», dijo. Al examinar el código del sitio web, Jordan encontró endpoints de API no seguros para el panel administrativo, permitiendo acciones como rechazar solicitudes de financiación, cambiar detalles bancarios o retirar financiamientos activos.
Estas fallas se suman a los problemas continuos de TIC de NSFAS, incluidos atrasos en pagos y procesos manuales que han causado dificultades a los estudiantes. En 2024, el exadministrador Freeman Nomvalo advirtió a un comité parlamentario que los sistemas eran vulnerables a ciberataques, señalando riesgos para la información de los estudiantes.
Jordan destacó consecuencias potenciales: los estafadores podrían redirigir financiamientos a sus propias cuentas o vender datos filtrados en la dark web. Los hermanos intentaron primero contactar directamente a NSFAS, pero no recibieron respuesta. Luego se pusieron en contacto a través de MyBroadband, alertando al equipo de medios y al CEO interino Waseem Carrim, quien confirmó que los problemas fueron resueltos.
NSFAS emitió un comunicado reconociendo que los usuarios conectados podían ver todos los mensajes generados por el sistema, incluidos OTP, y que ciertos endpoints de API eran inseguros, permitiendo acciones administrativas como retirar apelaciones. «NSFAS tomó conocimiento de una debilidad de seguridad potencial y activó inmediatamente sus protocolos de seguridad de la información y gestión de incidentes», decía. La agencia fortaleció los controles de acceso y mejoró el monitoreo, pero no abordó la responsabilidad por la configuración del sistema.
Este incidente recuerda un caso de 2024 en el que estudiantes de la Universidad de Stellenbosch expusieron vulnerabilidades de fraude en el sistema de subvenciones SASSA, lo que provocó una investigación parlamentaria.
